WordPress插件又现漏洞,黑客可能清除多达20万个网站!

WordPress应该是目前世界上使用最广泛的网站系统之一,功能强大、插件丰富是它的主要特点。不过成也萧何败也萧何,丰富的插件赋予了WordPress更多能力,但是同时也带来了更多的安全风险。

最近,WordPress就又爆出了一个插件Bug。ThemeGrill Demo Importer主题插件用于快速导入演示内容、组件和设置,以便快速设置主题。为了实现这个功能,该插件内部代码可以不需要验证就调用admin管理员权限授权。如果网站数据库中恰巧存在“admin”用户,就可能导致黑客远程登录并获得网站的管理员权限,从而完全控制该网站。

目前,ThemeGrill Demo Importer插件在全球拥有20万个活跃用户,意味着该漏洞可能导致20万个网站被黑客攻击,甚至直接清零。WordPress安全公司WebARX的研究人员表示,该漏洞存在于ThemeGrill Demo Importer插件过去三年发布的1.3.4至1.6.1版本。

这个漏洞是代码授权问题,因此不会被服务器防火墙阻止,只能通过创建专门的访问规则来解决。当然,最好的办法是,把ThemeGrill Demo Importer插件升级到2月16日发布的1.6.2版本。